El Internet de las Cosas (IoT) está impulsando un cambio impulsado por la información hacia dispositivos conectados en el mundo empresarial en general. Las empresas están compitiendo por poner cada vez más dispositivos en la red conectada para poder aprovechar mayores cantidades de datos. Estos datos se pueden utilizar para mejorar la comprensión del consumidor y del mercado, así como para mejorar las cadenas de suministro y los procesos empresariales. Con más datos disponibles, las empresas pueden tomar decisiones informadas sin precedentes, evaluar el rendimiento de sus productos de una manera completamente nueva y mirar las cosas con perspectivas más refinadas.

La tendencia se está produciendo en todos los sectores. Según un informe de Gartner, se estima que para 2019, el mercado empresarial utilizará 23.3 mil millones de dispositivos conectados. Sin embargo, la dependencia de los dispositivos conectados conlleva una gran cantidad de riesgos para las empresas, especialmente con las enormes cantidades de datos de los consumidores y la información propietaria que pueden estar involucrados. Una desventaja importante de esta tendencia es que, con redes de datos tan grandes para administrar, cada industria también tiene que enfrentar un conjunto amplio de estándares de cumplimiento que debe considerar al utilizar dispositivos conectados. La falta de cumplimiento tiene consecuencias de doble filo: la organización responsable puede tener que pagar daños y multas enormes en caso de una violación de datos, y su reputación con los consumidores puede verse afectada negativamente.

Estándares de Seguridad y Brechas Importantes

Salud

Las empresas de salud deben cumplir con la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA), que requiere que los proveedores de atención médica aseguren el cumplimiento de cada dispositivo médico conectado y garanticen que la privacidad de los datos del usuario no se vea comprometida en ningún caso. Bajo la reciente Ley HITECH, que es parte de HIPAA, las entidades de atención médica son responsables no solo de multas regulatorias, sino también de procesamientos civiles y penales por negligencia en los datos del usuario. Sin embargo, existen lagunas evidentes en la estrategia de las entidades de atención médica. En 2013, el 44% de todas las violaciones de datos se dirigieron a empresas médicas. Con el rápido aumento en el uso de dispositivos conectados, los puntos de riesgo para el sector de la salud solo aumentarán debido al cumplimiento inadecuado de los estándares.

Procesadores de Tarjetas de Crédito

Los procesadores de tarjetas de crédito, en su mayoría minoristas, están regulados por el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), que requiere que las empresas protejan los datos del titular de la tarjeta, los cifren de manera segura durante la transmisión y minimicen el acceso físico o digital a los datos solo cuando sea absolutamente necesario para el negocio. Los procesadores de tarjetas de crédito han sido uno de los principales objetivos de los ciberataques en los últimos años. El robo de 40 millones de tarjetas de crédito y débito de los terminales de punto de venta de Target en 2014 es un ejemplo reciente. Con más dispositivos conectados en la red, los puntos de vulnerabilidad también aumentan correspondientemente, y el incumplimiento deja la puerta abierta a violaciones de datos y las consiguientes pérdidas financieras.

Finanzas

Las entidades financieras, como los bancos, han sido reacias a garantizar el cumplimiento de los estándares de la Comisión de Valores y Bolsa (SEC). En consecuencia, una tras otra, las brechas de datos siguen afectando al sector bancario. El incumplimiento de la ciberseguridad en el sector financiero ha llevado a más de 900 millones de registros violados solo en 2014. Con cada vez más dispositivos empresariales conectados incorporados en el sector bancario, un desastre es inminente si el cumplimiento de los estándares no mejora rápidamente en los próximos días.

¿Qué se debe hacer?

El IoT puede ser un entorno complejo. Comprender los riesgos, oportunidades y desafíos en el IoT es el primer paso crítico hacia una implementación efectiva y segura. Los expertos citan diferentes “superficies” de un sistema IoT. En palabras más simples, esto puede significar diferentes caras o capas diferentes, y cada una de ellas tiene sus propios riesgos y vulnerabilidades. La mayoría de las violaciones de datos ocurren cuando las organizaciones solucionan las brechas en una superficie pero ignoran el resto. Con más y más dispositivos conectados a ella, cada superficie de un IoT se convierte en una consideración de seguridad críticamente importante. Cualquier empresa que busque implementar o asegurar su solución IoT debe identificar todas las superficies. Una forma efectiva de hacer esto es utilizar el proyecto OWASP como guía de código abierto. El proyecto identifica interfaces web inseguras y servicios de red inseguros, interfaces en la nube y móviles inseguras, cifrado deficiente y una variedad de otras vulnerabilidades que suelen afectar a una solución IoT.

Medidas a tomar

Plan de Contingencia

El cumplimiento de los estándares y la implementación de recomendaciones de la industria solucionarán en gran medida un sistema IoT. Sin embargo, siempre existe la posibilidad de vulnerabilidad y es responsabilidad de una empresa prever esta posibilidad. Las contramedidas deben estar en su lugar antes de que ocurra una violación. Típicamente, un plan de contingencia empresarial utiliza una solución de recuperación de desastres basada en la nube como un medio rentable para garantizar la continuidad del negocio.

Recuperación de Desastres Basada en la Nube

La recuperación de desastres basada en la nube prevé la posibilidad de que ocurra una violación de datos de la empresa o cualquier otra falla en el sistema principal. En caso de dicho incidente, la empresa puede redirigir a sus usuarios a las copias de los datos de la empresa almacenados en un entorno de nube seguro.

Plataforma de Continuidad del Negocio (BCP)

Las BCP garantizan que si el sitio principal o la interfaz de un negocio es atacado o sufre una falla por alguna otra razón, no afecte la forma en que los usuarios acceden a la interfaz. En su lugar, los servidores de respaldo entran en acción y la experiencia del usuario sigue siendo perfecta.

Cifrado

El cifrado se ha convertido en una parte ubicua y efectiva de la seguridad digital. Esto debe involucrar tanto los datos en movimiento como los datos en reposo: desde autenticar los detalles del usuario hasta recopilar información confidencial, y desde almacenar los datos del usuario hasta transferirlos a servidores remotos de respaldo. Con datos en todas partes, una empresa debe asegurarse de que solo se utilicen las metodologías de cifrado más seguras y probadas por la industria para mantener la seguridad y privacidad de los datos del usuario.

Soberanía de Datos

Uno de los principales puntos de negligencia en el manejo de los datos empresariales es la soberanía de los datos. Varios países y autoridades reguladoras suelen requerir que los datos recopilados de los usuarios dentro de una determinada región no se almacenen en ningún lugar fuera de esa región o país. La negligencia generalmente resulta en multas y sanciones graves.

Integridad de la Base de Datos

Cuando se almacenan datos, es de vital importancia para una organización no solo garantizar la precisión de los datos, sino también tener políticas que rijan el ciclo de vida de estos datos. ¿Cuánto tiempo puede la empresa retener los datos del usuario? ¿Se aplican limitaciones definidas en el estándar de cumplimiento al período de almacenamiento? ¿Las leyes de un país prohíben el almacenamiento de datos durante períodos prolongados? ¿Qué se puede hacer con los datos al final del período de almacenamiento? Estas son todas preguntas pertinentes para cualquier empresa que maneje dispositivos conectados y datos empresariales.

Conclusión

La mayoría de los estándares de la industria aplicables al IoT se ocupan de la privacidad de los datos y la seguridad de la información. En ese sentido, las modificaciones en HIPAA y los desarrollos recientes, como el Artículo 29 del Grupo de Trabajo, son marcos regulatorios importantes. Cualquier entidad empresarial que busque aumentar los datos utilizando dispositivos conectados deberá estar atenta a los estándares regulatorios. La mayoría de las implementaciones empresariales de IoT hoy en día enfrentan problemas pertinentes, como un control insuficiente sobre los datos recopilados, contenido de usuario ambiguo en el uso de estos datos y los riesgos consiguientes en el manejo de estos datos. En todo momento, los datos son vulnerables a ataques y violaciones externas. Para las organizaciones que buscan llevar a cabo implementaciones exitosas de IoT sin tener que enfrentar violaciones frecuentes o multas regulatorias, el camino está claro pero es difícil. Deben aplicar políticas y regímenes de datos que minimicen la exposición a amenazas. Deben buscar explícitamente el contenido del usuario en la recopilación y utilización de estos datos. Y deben garantizar medidas de seguridad que puedan proteger los datos en cada paso, tomando orientación de proyectos como OWASP. Por último, los planes de respaldo en caso de fallas imprevistas siempre deben estar en su lugar. Invertir en un régimen compatible con los estándares, completamente seguro y éticamente justo al recopilar datos de dispositivos conectados puede ser una empresa costosa para una empresa. Pero en comparación con la cantidad de riesgos legales y multas regulatorias que puede enfrentar una organización en caso de una falla importante, una inversión oportuna en esta dirección vale la pena. Sin mencionar las pérdidas financieras que una empresa puede enfrentar al presenciar una falla del sistema debido a una mala seguridad de datos.